تكوين تقنيات الحماية من رفض الخدمة (مجموعة الأمان) على المحولات SX500 Series Stackable Switches

الهدف

تعمل هجمات رفض الخدمة (DoS) أو رفض الخدمة الموزع (DDoS) على تقييد المستخدمين الحقيقيين لاستخدام الشبكة. يقوم المهاجم بتنفيذ هجوم رفض الخدمة (DoS) من خلال إغراق الشبكة بالعديد من الطلبات غير الضرورية التي تشغل جميع النطاق الترددي للشبكة. يمكن أن تؤدي هجمات رفض الخدمة (DoS) إلى إبطاء الشبكة، أو إيقاف الشبكة بالكامل لعدة ساعات. حماية رفض الخدمة (DoS) هي الميزة الرئيسية لتحسين أمان الشبكة، كما أنها تكتشف حركة المرور غير الطبيعية وتصفيتها.

يشرح هذا المقال تكوين حجب الخدمة في إعدادات مجموعة الأمان ومختلف التقنيات المستخدمة لمنع الخدمة.

ملاحظة: إذا كانت ميزة "منع رفض الخدمة (DoS)" التي تم إختيارها هي "منع على مستوى النظام" و"منع على مستوى الواجهة"، يمكن تحرير وتكوين العناوين العرفية وتصفية SYN وحماية معدل SYN وتصفية بروتوكول ICMP وتصفية أجزاء IP. هذه التكوينات مشروحة أيضا في هذه المقالة.  

ملاحظة: قبل تنشيط منع رفض الخدمة (DoS)، من الضروري إلغاء ربط جميع قوائم التحكم في الوصول (ACLs) أو أي نهج متقدم لجودة الخدمة (QoS) تم تكوينها على المنفذ. لا تكون قوائم التحكم في الوصول وسياسات جودة الخدمة المتقدمة نشطة بمجرد تمكين حماية رفض الخدمة (DoS) على المنفذ.

الأجهزة القابلة للتطبيق

• سلسلة مبدلات SX500 القابلة للتكديس

إصدار البرامج

• 1.3.0.62

تكوين قطع الخدمة في إعدادات مجموعة الأمان

الخطوة 1. قم بتسجيل الدخول إلى الأداة المساعدة لتكوين الويب، واختر الأمان > منع الخدمة > إعدادات مجموعة الأمان. تظهر صفحة إعدادات مجموعة الأمان:

• آلية حماية وحدة المعالجة المركزية — هذه
• ممكن. هذا يشير إلى أن أداة تحويل التأمين (SCT) ممكنة.
• إستخدام وحدة المعالجة المركزية — انقر
• تفاصيل بجانب إستخدام وحدة المعالجة المركزية لعرض معلومات إستخدام مورد وحدة المعالجة المركزية.

  الخطوة 2. انقر فوق الزر التبادلي المناسب ضمن حقل منع DoS. 

• تعطيل — تعطيل منع رفض الخدمة (DoS). 
• الوقاية على مستوى النظام — هذا يمنع الهجمات من توزيع Stacheldraht، والغزوات طروادة والموجه الخلفي طروادة.
• الوقاية على مستوى النظام وعلى مستوى الواجهة — وهذا يمنع الهجمات لكل واجهة على المحول. 

الخطوة 3. يمكن إختيار هذه الخيارات للحماية من رفض الخدمة:

• توزيع Stacheldraht — هذا مثال على هجوم DDoS حيث يستخدم المهاجم برنامج عميل للاتصال بأجهزة الكمبيوتر داخل الشبكة. تقوم أجهزة الكمبيوتر هذه بعد ذلك بإرسال طلبات تسجيل دخول متعددة إلى الخادم الداخلي وبدء هجوم DDoS. 
• Invasor Trojan — إذا كان الكمبيوتر مصابا بهذا الهجوم، يتم إستخدام منفذ TCP 2140 للأنشطة الضارة. .
• back Orifice Trojan — يتجاهل هذا حزم UDP التي يتم إستخدامها للاتصال بالخادم وبرنامج العميل لهجوم رفض الخدمة (DoS). 

تكوين عناوين Martian

الخطوة 1. انقر فوق تحرير في حقل العناوين المريخية ثم تفتح صفحة العناوين المريخية. تشير عناوين Martian إلى عنوان IP الذي يمكن أن يكون السبب في هجوم على الشبكة. يتم إسقاط الحزم التي تأتي من هذه الشبكات.

الخطوة 2. تحقق من تضمين عناوين Martian المحجوزة وانقر فوق تطبيق لإضافة عناوين Martian المحجوزة في قائمة منع مستوى النظام.

الخطوة 3. لإضافة عنوان Martian، انقر فوق إضافة. يتم عرض صفحة إضافة عناوين Martian. أدخل هذه المعلمات:

الخطوة 4. في حقل عنوان IP أدخل عنوان IP الذي يجب رفضه.

الخطوة 5. قناع عنوان IP للإشارة إلى نطاق عناوين IP التي يجب رفضها.

• إصدار IP — إصدار IP المدعوم. يسمح حاليا بالإصدار الرابع من بروتوكول الإنترنت (IP) فقط.
• من القائمة المحجوزة — أختر عنوان IP معروف من القائمة المحجوزة.
• عنوان IP جديد — أدخل عنوان IP.
• قناع الشبكة — قناع الشبكة بتنسيق العلامات العشرية.
• طول البادئة — بادئة عنوان IP لتحديد نطاق عناوين IP التي يتم تمكين منع الخدمة لها.

الخطوة 6. انقر فوق تطبيق الذي يجعل عنوان Martian مكتوبا إلى ملف التكوين الجاري تشغيله.

تكوين تصفية SYN

تسمح تصفية SYN لمسؤولي الشبكة بإسقاط حزم TCP غير القانونية باستخدام علامة SYN. يتم تحديد تصفية منفذ SYN على أساس كل منفذ. 

الخطوة 1. لتكوين تصفية SYN انقر فوق تحرير وتفتح صفحة تصفية SYN:

الخطوة 2. انقر فوق إضافة (Add). يتم عرض صفحة إضافة تصفية SYN. أدخل هذه المعلمات في الحقول المعروضة:

الخطوة 3. أختر الواجهة التي يلزم تعريف عامل التصفية عليها.

الخطوة 4. انقر فوق معرف من قبل المستخدم لإعطاء عنوان IP يكون قد تم تعريف عامل التصفية له أو انقر فوق جميع العناوين.

الخطوة 5. قناع الشبكة الذي يتم تمكين عامل التصفية له. انقر فوق طول البادئة لتحديد الطول، فنطاقه هو من 0 إلى 32، أو انقر فوق القناع لإدخال قناع الشبكة الفرعية كما هو الحال في التدوين العشري المنقوط.

الخطوة 6. طقطقت الغاية TCP ميناء أن يكون مرشح. هم من الأنواع:

• المنافذ المعروفة — أختر منفذا من القائمة.
• معرف من قبل المستخدم — أدخل رقم المنفذ.
• جميع المنافذ — انقر للإشارة إلى تصفية جميع المنافذ.

الخطوة 7. انقر فوق تطبيق مما يجعل تصفية SYN تتم كتابتها إلى ملف التكوين الجاري تشغيله.

تكوين تصفية ICMP

بروتوكول رسائل التحكم في الإنترنت (ICMP) هو أحد أهم بروتوكولات الإنترنت. هو بروتوكول طبقة الشبكة. يتم إستخدام ICMP بواسطة أنظمة التشغيل لإرسال رسائل الخطأ لإخبار عدم توفر الخدمة التي تم طلبها أو تعذر الوصول إلى مضيف معين. ويتم إستخدامها أيضا لإرسال رسائل تشخيصية. لا يمكن إستخدام ICMP لتبادل البيانات بين الأنظمة. يتم إنشاؤها عادة إستجابة لبعض الأخطاء في مخططات بيانات IP.

حركة مرور ICMP هي حركة مرور شبكة بالغة الأهمية ولكن يمكن أن تؤدي أيضا إلى العديد من مشاكل الشبكة إذا تم إستخدامها ضد الشبكة بواسطة مهاجم ضار. وهذا يوضح الحاجة إلى التصفية الصارمة لحركة مرور ICMP التي تأتي من الإنترنت. تتيح صفحة تصفية ICMP تصفية حزم ICMP من مصادر معينة. وهذا يقلل من الحمل على الشبكة في حالة وجود أي هجوم ICMP.

الخطوة 1. لتكوين تصفية ICMP، انقر فوق تحرير وستفتح صفحة تصفية ICMP.

الخطوة 2. انقر فوق إضافة (Add). يتم عرض صفحة إضافة تصفية ICMP. أدخل هذه المعلمات في الحقول المعروضة:

الخطوة 3. أختر الواجهة التي يتم تحديد تصفية ICMP عليها.

الخطوة 4. أدخل عنوان IPv4 الذي تم تمكين تصفية حزم ICMP له أو انقر فوق جميع العناوين لحظر حزم ICMP من جميع عناوين المصدر. إذا تم إدخال عنوان IP، فأدخل إما طول القناع أو البادئة.

الخطوة 5. قناع الشبكة الذي يتم تمكين حماية المعدل له. أختر تنسيق قناع الشبكة لعنوان IP المصدر وانقر فوق أحد الحقول.

• القناع — أختر الشبكة الفرعية التي ينتمي إليها عنوان IP المصدر وأدخل قناع الشبكة الفرعية بتنسيق العلامات العشرية.
• انقر فوق طول البادئة لتحديد الطول وأدخل عدد وحدات بت التي تتكون من بادئة عنوان IP المصدر، ويتراوح نطاقها من 0 إلى 32.